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Vragen van het lid Pia Dijkstra (D66) aan de Minister van Volksgezondheid, 
Welzijn en Sport over medische websites die gezondheidsgegevens lekken 
(ingezonden 22 februari 2016). 

Antwoord van Minister Schippers (Volksgezondheid, Welzijn en Sport) 
(ontvangen 17 maart 2016) 

Vraag 1 

Herinnert u zich de eerdere vragen en antwoorden over het bericht dat 
medische websites gezondheidsgegevens lekken? 1 

Antwoord 1 
Ja. 

Vraag 2 en 3 

Kunt u aangeven in hoeverre u het realistisch acht dat de Autoriteit Persoons¬ 
gegevens praktijksituaties aan de wet- en regelgeving (van de Wet bescher¬ 
ming persoonsgegevens) moet toetsen, terwijl er duizenden apps en websites 
zijn, maar de Autoriteit Persoonsgegevens slechts 72 fte heeft? 

Deelt u de mening dat het bijna onmogelijk is om deze gehele verantwoorde¬ 
lijkheid bij de Autoriteit Persoonsgegevens neer te leggen, omdat het 
controleren van praktijksituaties in de gezondheidszorg niet haar enige taak 
is? 


Antwoord 2 en 3 

De Autoriteit Persoonsgegevens (AP) is een onafhankelijke toezichthouder, zij 
richt haar eigen toezicht in en maakt daarbij haar eigen keuzes. De AP 
prioriteert op basis van een aantal criteria (zoals de ernst van de overtreding 
en de vraag of het een structurele overtreding is) en op basis van signalen 
haar werkzaamheden. De AP houdt onder meer toezicht op de verwerking 
van persoonsgegevens die het gevolg kan zijn van het plaatsen en uitlezen 
van tracking cookies. Daarnaast ziet de Autoriteit Consument en Markt (ACM) 
er parallel op toe dat websites of apps die gegevens bij bezoekers plaatsen 
en/of uitlezen uit de randapparatuur van bezoekers zich aan de regels 
houden. 
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Ook IGZ heeft een rol in het toezicht op dit terrein. De AP en IGZ hebben een 
samenwerkingsprotocol waarin zij wederzijdse afspraken hebben gemaakt 
over de wijze van samenwerking voor het uitoefenen van toezicht op de 
verwerking van persoonsgegevens en de bescherming van de persoonlijke 
levenssfeer binnen de gezondheidszorg. Dit protocol is op de websites van 
beide organisaties gepubliceerd. De IGZ zal zich bij het uitoefenen van haar 
bevoegdheden primair richten op gevallen waar het zwaartepunt ligt op de 
kwaliteit van zorgverlening. De AP zal zich bij het uitoefenen van zijn 
bevoegdheden primair richten op gevallen waar het zwaartepunt in de 
toepassing van bepalingen van de Wet bescherming persoonsgegevens 
(Wbp) ligt. Voorts verwijs ik u naar de brief van de Minister van Veiligheid en 
Justitie aan uw Kamer van 29 febuari jl. naar aanleiding van de berichtgeving 
over de AP in het NRC van 30 december 2015 (Kamerstuk 32761, nr. 94). 

Vraag 4 

In hoeverre bent u op dit moment met het Informatieberaad in overleg over 
mogelijke (extra) waarborgen voor privacy van patiënten? Kunt u aangeven 
aan welke extra waarborgen u denkt voor het beschermen van privacy? Kunt 
u ook aangeven hoe frequent dit overleg is en wanneer u verwacht enkele 
uitkomsten te kunnen presenteren? Zo nee, kunt u aangeven waarom niet? 

Antwoord 4 

Dit onderwerp wordt, in april voor het eerst, besproken in een werkgroep met 
de leden van het Informatieberaad 3 , waarbij ook experts op het gebied van 
«privacy by design» en de AP betrokken zullen worden. Deze werkgroep komt 
met een voorstel voor aanvullende maatregelen om de privacy van patiënten 
te beschermen en de informatiebeveiliging van systemen te verhogen. Het 
Informatieberaad komt vier maal per jaar bij elkaar. In de vergaderingen van 
april en juni wordt het onderwerp geagendeerd. Het onderwerp is complex, 
de verwachting is dat het Informatieberaad in september kan komen tot 
eerste afspraken over mogelijke aanvullende maatregelen. 

Vraag 5 

Kunt u aangeven in hoeverre u zelf bijdraagt aan het stimuleren van «privacy 
by design», om te voorkomen dat persoonsgegevens als «big data» voor 
commerciële doeleinden worden gebruikt, met consequenties voor de 
patiënten, zonder dat deze daar weet van hebben? 

Antwoord 5 

Bij het maken van nieuw beleid waarbij verwerkingen van persoonsgegevens 
verwacht worden, is het doen van een Privacy Impact Assessment, waarbij 
privacy gevolgen in kaart gebracht worden, verplicht. Mijn uitgangspunt is 
dat daar waar verwerkingen van persoonsgegevens voorkómen of geminima¬ 
liseerd kunnen worden zonder dat het behalen van beleidsdoelstellingen in 
het geding komt, dat dit ook gebeurt. In overige situaties geldt dat een 
formele wettelijke grondslag aanwezig is voor deze verwerking van persoons¬ 
gegevens en voldaan wordt aan de informatieplicht. Als het gaat om tracking 
voor commerciële doeleinden van bezoekers van medische websites en 
gebruikers van apps die gezondheidsgegevens verwerken is de enige 
mogelijke grondslag uit de Wbp dat er toestemming is. Het heimelijk 
verzamelen, verkopen of gebruiken van persoonsgegevens is in geen enkele 
situatie toegestaan. 

Gezien mijn eHealth ambities zal ik met de leden van het Informatieberaad 
bespreken of er mogelijkheden zijn om extra waarborgen te realiseren en 
«privacy by design» te stimuleren. 

Vraag 6 

In hoeverre acht u het wenselijk dat medische gegevens conform de Wet 
bescherming persoonsgegevens verwerkt worden, omdat het nu te vaak 
voorkomt dat bedrijven en/of organisaties niet weten dat ze gegevens lekken, 
doordat ontwikkelaars cookies plaatsen en gegevens doorsturen, terwijl zij 
wel verantwoordelijk zijn? 


3 De leden van het Informatieberaad zijn: VWS (voorzitter), ZN, NPCF, NFU, FMS, NVZ, NHG, LHV, 
InEen, KNGF, KNMP, Actiz, VGN, VNG, GGZ NL 
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Antwoord 6 

Ik acht het van groot belang dat alle verwerkingen van alle persoonsgege¬ 
vens, conform de Wet bescherming persoonsgegevens (Wbp) geschieden. 
Instanties en organisaties die werken met deze gegevens moeten zich zelf 
bewust zijn van en zijn ook zelf verantwoordelijk voor het feit dat zij deze 
gegevens verwerken en daarvoor de juiste maatregelen treffen. Voor het 
gebruik van cookies gelden wettelijke regels. Dat zijn in de eerste plaats 
regels uit de Telecommunicatiewet (Tw). De zogenaamde cookiebepaling 
(artikel 11.7a Telecommunicatiewet (Tw)) bepaalt dat voor het plaatsen en 
lezen van cookies toestemming nodig is van de betrokkene en dat deze 
toestemming moet worden verkregen nadat de betrokkene hierover duidelijk 
en volledig is geïnformeerd. 

Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers kan 
worden gevolgd, geldt het bij amendement Van Bemmel/Van Dam geïntrodu¬ 
ceerde rechtsvermoeden dat hierbij sprake is van verwerking van persoons¬ 
gegevens. De plaatser van tracking cookies zal dan ook aan de Wbp moeten 
voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt. De 
plaatser van de cookies is uiteindelijk zelf verantwoordelijk om na te gaan of 
de wijze waarop hij cookies gebruikt van toestemming is uitgezonderd en 
anders is ondubbelzinnige toestemming nodig. 

De Autoriteit Consument en Markt (ACM) ziet erop toe dat de cookiebepaling 
wordt nageleefd 4 . De regels gelden ook voor buitenlandse sites, apps of 
hulpmiddelen (smart devices) die zich op Nederlandse bezoekers richten. In 
de tweede plaats zijn het regels uit de Wbp. De Wbp bepaalt dat persoonsge¬ 
gevens uitsluitend mogen worden verwerkt indien een beroep kan worden 
gedaan op een van de rechtsgrondslagen in artikel 8 van de Wbp. De AP 
houdt toezicht op de naleving van de Wbp en de verwerking van persoonsge¬ 
gevens die het gevolg kan zijn van het plaatsen en het uitlezen van tracking 
cookies. 

Vraag 7 

Deelt u de mening dat het uw verantwoordelijkheid is om organisaties die 
bezig zijn met e-health, apps en websites, en het ontwikkelen daarvan, actief 
te informeren over de risico's van het gebruik en praktische tips mee te geven 
over het privacy vriendelijk verwerken van gegeven? Zo nee, kunt u aangeven 
waarom niet? 

Antwoord 7 

Het is de uitdrukkelijke verantwoordelijkheid van partijen zelf om er voor te 
zorgen dat alle verwerkingen van alle persoonsgegevens, conform de Wet 
bescherming persoonsgegevens (Wbp) geschieden. Een voorwaarde hiervoor 
is dat deze instanties en organisaties ook op de hoogte zijn van relevante 
wet- en regelgeving op dit terrein. Enkele recente casussen laten zien dat het 
bewustzijn rond de eisen die gelden bij de verwerking van persoonsgegevens 
in het digitale publieke (gezondheidszorg) domein weleens te kort schiet, 
vandaar ook dat ik met de leden van het Informatieberaad wil bespreken 
welke mogelijke extra waarborgen zij kunnen treffen en hoe zij het bewustzijn 
bij hun achterban kunnen vergroten. 


4 Uitleg over de wettelijke eisen aan andere soorten cookies is te vinden op de website van de 
ACM. 
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